L’utilisation de Google Analytics par plus du trois quarts du marché mondial permet d’analyser l’audience des sites Internet par leur propriétaire, pourrait être sérieusement remis en cause, suite à une décision rendue par l’autorité autrichienne de protection des données (DPA).

Qu’est-ce que Google Analytics et pourquoi rencontre-t-il un tel succès auprès des entreprises ?

Il s’agit donc de l’outil statistique de Google, qui permet à chaque administrateur de site web de pouvoir analyser son audience.
Ce système a été mis en place par l’entreprise américaine en mars 2005.

En plus de fournir l’évolution graphique et chiffrée de l’audience d’un site, les rapports de Google Analytics indiquent également comment les visiteurs naviguent sur le site, ce qu’ils y font et comment ils y sont arrivés.

Google Analytics est un outil très puissant qui fonctionne en installant un cookie sur le navigateur des internautes.
En d’autres termes Google Analytics permet d’analyser le comportement des internautes sur un site. Grâce aux cookies, l’outil est capable de suivre les pages que les utilisateurs lisent, la durée de visite des utilisateurs ainsi que les informations liées à l’appareil utilisé.

Ainsi les sites marchands connaissent les habitudes des consommateurs et peuvent ainsi adapter leur stratégie commerciale en conséquence.

Un tel système garantit-il la protection de vos données à caractère personnelles ?

Le 13 janvier 2022 le Datenschutzbehörde à savoir l’autorité autrichienne de protection des données (DPA), a statué sur l’usage de Google Analytics et l’a jugé illégal et contraire à la règlementation sur la protection des données personnelles.
A la suite de l’arrêt Schrems II du 16 juillet 2020, pris par la Cour de justice de l’Union européenne (CJUE), l’ONG autrichienne Noyb (None of Your Business), fondée par l’activiste Maximilien Schrems, a déposé « 101 plaintes dans presque tous les États membres et les autorités ont coordonné la réponse. Une décision similaire a également été rendue par le Contrôleur européen de la protection des données la semaine dernière ».
La CJUE, qui avait jugé que l’accord de transfert de données entre les États-Unis et l’UE « Privacy Shield » n’était pas conforme à la législation européenne sur la protection des données et a annulé l’accord en 2020, ce qui, de fait, a rendu illégaux la plupart des transferts de données vers les États-Unis.

Cependant, Google a partiellement ignoré cette décision.

En effet, le géant américain s’est contenté de rajouter un simple texte relatif au sein de sa politique de confidentialité, sans réel changement dans son fonctionnement ne remplissant absolument pas les nouvelles conditions éditées par la Cour de Justice de l’Union Européenne, dans son arrêt rendu le 16 juillet 2020.
De nombreuses entreprises au sein de l’Union Européenne utilisent Google Analytics et transmettent de facto leurs données récoltées à Google.

Ces données sont donc traitées aux États-Unis, et ce malgré la décision de la CJUE qui a jugé ce transfert comme illégal.
En définitive, toutes les données transmises, via cet outil, aux Etats-Unis ne sont pas protégées au titre de la règlementation de protection des données à caractère personnelle de l’Union Européenne.
Au contraire, lorsque les données sont transmises aux Etats-Unis et tombent donc sous le couvert de la loi américaine, cette dernière n’accorde aucun droit, aux étrangers, sur la façon dont leurs données sont récupérées et analysées.

Quelles sont les conséquences de cette décision ?

Aujourd’hui c’est l’autorité autrichienne qui a rendu cette décision, demain d’autres pays de l’Union Européenne pourraient rendre une décision similaire et contraindre ainsi Google à changer sa politique de protection des données personnelles.
D’autant que l’autorité autrichienne peut compter sur l’appui du Comité européen de la protection des données dans ses accusations, ce dernier estimant que l’infraction au RGPD est bel et bien caractérisée.
Si ces affaires venaient à déboucher sur des amendes ou des sanctions d’envergures, les éditeurs inquiétés pourraient se retourner contre les géants du numérique et notamment Google, responsables de ces services gratuits à cause desquels le fonctionnement de leurs sites et services se retrouve dans l’illégalité.
Pour le moment aucune sanction pécuniaire n’a été prononcée, mais cela pourrait être le cas.
En effet, il faut garder à l’esprit que le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise en question.

D’autant que Google n’en est pas à son coup d’essai puisque très récemment en date du 31 décembre 2021, la CNIL a sanctionné l’entreprise américaine pour un montant total de 150 millions d’euros, parce qu’il n’était pas permis aux utilisateurs de google.fr entre autres de refuser les cookies aussi facilement que de les accepter, alors que la règlementation européenne impose ce parallélisme en la matière.

Il est à noter qu’en 2019, la CNIL avait également infligé une sanction administrative de 50 millions d’euros à Google pour violation de la loi RGPD, la peine avait été confirmée en juin 2020, par le Conseil d’Etat.
Trois manquements par Google, avaient été identifiés :
 Manque de transparence, en effet, les informations fournies par Google n’était pas « aisément accessibles pour les utilisateurs » ;
 Une information insatisfaisante qui n’est pas « toujours claire et compréhensible » ;
 Une absence de consentement valable pour la personnalisation de la publicité.

Il est donc aujourd’hui devenu de plus en plus difficile voire impossible que les GAFAM passent sous les radars du respect de la protection des données personnelles, notamment sous l’impulsion d’ONG du type NOYBE sous l’influence de son créateur Maximilien Schrems.

Ces entités géantes devront prendre en compte ce nouveau paramètre et se conformer ainsi avec la règlementation en vigueur.

Steve Outmezguine Avocat à la cour Fondateur du Cabinet AvoMedias https://ntic-conseils.com/ Enseignant aux facultés de droit de Paris